日本經產省公布AI、資料利用契約指引
伴隨IoT和AI等技術發展,業者間被期待能合作透過資料創造新的附加價值及解決社會問題,惟在缺乏相關契約實務經驗的狀況下,如何締結契約成為應首要處理的課題。
針對上述狀況,日本經濟產業省於2017年5月公布「資料利用權限契約指引1.0版」(データの利用権限に関する契約ガイドラインVer1.0),隨後又設置AI、資料契約指引檢討會(AI・データ契約ガイドライン検討会),展開後續修正檢討,在追加整理資料利用契約類型、AI開發利用之權利關係及責任關係等內容後,公布「AI、資料利用契約指引草案」(AI・データの利用に関する契約ガイドライン(案)),於2018年4月27日至5月26日間公開募集意見,並於2018年6月15日正式公布「AI、資料利用契約指引」(「AI・データの利用に関する契約ガイドライン)。
「AI、資料利用契約指引」分為資料篇與AI篇。資料篇整理資料契約類型,將資料契約分為「資料提供型」、「資料創造型」和「資料共用型(平台型)」,說明個別契約架構及主要的法律問題,並提示契約條項及訂定各條項時應考慮的要點,希望能達成促進資料有效運用之目的。
AI篇說明AI技術特性和基本概念,將AI開發契約依照開發流程分為(1)評估(assessment)階段;(2)概念驗證(Proof of Concept, PoC)階段;(3)開發階段;(4)進階學習階段,並針對各階段契約方式和締結契約時應考慮的要點進行說明,希望達成促進AI開發利用之目的。
本文為「經濟部產業技術司科技專案成果」
周晨蕙
副主任 編譯整理
1.〈「AI・データの利用に関する契約ガイドライン」を策定しました〉,経済産業省,http://www.meti.go.jp/press/2018/06/20180615001/20180615001.html(最後瀏覽日期︰2018/07/12)。
2.〈 AI・データの利用に関する契約ガイドライン〉,経済産業省, http://www.meti.go.jp/press/2018/06/20180615001/20180615001-1.pdf(最後瀏覽日期︰2018/07/12)。
紐西蘭最為歷史悠久的IT專家組織(Institute of IT Professionals NZ)於2012年5月發布雲端運算實務準則(Cloud Computing Code of Practice),藉此彌補實務上缺乏雲端運算標準與實務指針的問題;本準則為自願性遵循規範,以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之,並可向公眾宣示其已遵行此準則,然倘若未遵行而為遵行之宣示,則屬誤導或詐欺行為而觸犯公平交易法(Fair Trading Act 1986)。本準則有四個主要目標:1. 促進紐西蘭雲端產業的服務標準;2. 確立應揭露(disclosure)的標準;3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示;4.強化紐西蘭雲端運算產業的整合性。 依據此準則,雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面,業者應表明是否對所上載的資料或資訊主張所有權;而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時,業者應確認其資料所有權之歸屬。 在資料管理與保障層面,業者應表明遵從何種資訊安全標準或實務,其已向美國雲端產業聯盟(Cloud Security Alliance)進行STAR登記,或者已通過其他標準的驗證;此外應表明儲存資料伺服器之一處或多處所在地。再者,業者亦須表明服務關係繼續中或終止後,業者或客戶對於客戶所擁有資料之存取權限。 在服務提供的適當管理措施上,包含業者的備份(Backup)程序及維護措施,皆應為揭露,使用戶得據以評估是否採取進一步的資料保護措施;此外包括服務的繼續性要求,如備援措施…等,亦應為揭露;又鑒於雲端服務有地理多樣性(Geographic Diversity)的特質,業者應使用戶知悉其提供服務、或營業活動的地點,以判斷此等服務可能適用的法權(Legal Jurisdiction)。 依據此準則,雲端業者亦可例如透過服務水準協議(Service Level Agreement)對個別用戶承諾特別的服務支援方案,以提供更好的服務品質。
日本修正「請求揭露匿名網路霸凌者個人資料」之程序網際社群服務的普及,如Face Book、Instagram、Twitter或網路論壇,將人與人之間的社群連結從實體拓展到虛擬,社群網路的蓬勃發展充分展現言論自由,人人皆以匿名方式藏身於社群網路的保護傘下盡情抒發己見,但相對也產生層出不窮的網路霸凌事件。 日本於修正《關於特定電子通訊服務業者損害賠償責任限制及使用者資訊揭示法》(特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律)前,遭受匿名網路霸凌的被害人若想對加害人提起損害賠償訴訟,須同時對社群網路服務業者及網路服務供應業者聲請禁止刪除資料假處分,被害人承擔巨大的程序成本,卻仍須承擔訴訟程序中,社群網路供應商因系統保存時效屆期而自動刪除加害人IP位置資料之風險。 為了遏止頻繁的網路霸凌事件,日本國會已於2021年4月21日表決通過修正《關於特定電子通訊服務業者損害賠償責任限制及使用者資訊揭示法》,將「請求揭露匿名網路霸凌者個人資料」由原本的假處分及通常訴訟程序修正為非訟程序,被害人僅須向法院提出聲請狀,如法院判斷該聲請可特定網路服務供應業者,被害人即可請求社群網路服務業者及網路服務供應業者提供匿名誹謗者(即加害人)的姓名、地址及網路登錄紀錄。另外,為避免IP位置資訊被刪除的風險,法院可於非訟程序進行中,先命社群網路服務業者禁止刪除該IP位置資訊,大幅推進被害人程序利益之保障。
美國政府呼籲立法遏止資料盜取並加強學生隱私保護美國歐巴馬總統在美國聯邦貿易委員會(Federal Trade Commission,FTC)2015年1月12日所舉辦的會議上,呼籲聯邦政府應制定「個人資料通知與保護法」(The Personal Data Notification and Protection Act),該法要求美國企業建立通報機制,其必須在資料遭盜取之日起三十天內通報客戶,以保護美國大眾之隱私。此一要求主要係因為發生多起網路駭客與資安事件,但目前聯邦政府卻欠缺相關法制,故聯邦政府嘗試藉此改善各州法律各行其事無法完善資安保護之問題,亦減輕跨州營運之美國企業適用各州法律之負擔,將有助於產業法制環境之改善。 同時,歐巴馬總統亦提出制定「學生數位隱私法」(The Student Digital Privacy Act)之呼籲,該法將禁止企業為獲取利益經由學校取得學生資料。此外,歐巴馬總統亦提及美國企業將需要簽署一自願性協議(Voluntary Code of Conduct for Smart Grid Customer Data Privacy,VCC),使消費者能夠查詢各企業之信用評分,帶動企業自主保護數位資料之安全,並以此作為身分盜取之預警,避免造成個資外洩後損失更多權益。而本次呼籲制定的法規尚針對先前由美國眾議院提出之「網路情報分享及保護法」(Cyber Intelligence Sharing and Protection Act,CISPA),特別強化其網路使用者保護之部份規定;其中包括加強公私部門合作以及深化網路防護安全,藉此妥善處理網路犯罪、保護國土安全等相關問題。是故,本次制定法規之目的將更著眼於擴大授權,使政府目的事業主管機關以及企業之間能夠共享相關資訊之權限,以預防更多潛在性的網路攻擊與資料盜取事件。